[网络安全学习篇附]：Web 安全学习路线

Table of Contents

Web 安全学习路线

熟悉Windows/kali Linux 系统

服务器安全配置

脚本编程学习

熟悉Web 相关的概念

熟悉渗透相关的工具

渗透实战操作

关注安全圈动态

源码审计与漏洞分析

安全体系设计与开发

Web 安全学习路线

熟悉Windows/kali Linux 系统

学习Windows/Linux 基本命令、常用工具

熟悉Windows 下 cms 命令，如ipconfig、nslookup、tracert、net user、net localgroup、tasklist、taskkill等等

熟悉Linux 下的 bash 常用命令，如ifconfig、Ls、cp、mv、vim、wget、sudo、service等等

熟悉kali 下的常用工具

服务器安全配置

学习服务器环境搭建及配置

1、Windows 2003/2008 环境下的IIS配置

2、Linux 环境下的Apache、Nginx 等服务器的配置

3、通过一些漏洞扫描工具（Nessus\openVAS）对配置环境进行漏洞扫描

4、配置软件Waf 加强系统安全，在服务器端配置mod_security 等系统

脚本编程学习

学习脚本语言python/PHP/Go/java

python 编程学习，如语法、函数、对象、正则、文件、网络、多线程等库，尝试编写简单的python 爬虫

搭建PHP开发环境，如XAMPP、phpstudy等，学习PHP语言相关内容，并学习编写简单的论坛系统

学习HTML、j=JavaScript，了解CSS

熟悉Web 相关的概念

如注入、文件上传、XSS、CSRF、一句话木马等等

看一些视频/笔记，了解渗透实战的整个流程。

熟悉渗透相关的工具

了解AWVS、sqlmap、MSF、Bp、nmap、Appsan、nessus、chopper等相关工具的使用

网上搜索相关教程学习使用

学完之后可以尝试使用音速启动做一个渗透工具箱

渗透实战操作

自己搭建靶场练习各种漏洞，如DVWA、sqli-labs、Mutillidae等等

研究OWASP TOP10 的原理，如SQL 注入原理，手动注入，自动注入，盲注等等

学习Windows/Linux 系统提权的方法

网上多找相关视频书籍观看学习。

关注安全圈动态

在主流的博客、技术平台浏览每日的安全技术文章、事件

养成良好的写博客习惯，复现一些漏洞

多关注最新的漏洞列表，如CVE中文库等等

多关注圈内大牛的技术博客

源码审计与漏洞分析

能够独立分析脚本源码并发现安全问题

熟悉代码审计的动态和静态的方法，学会如何去分析程序

研究Web 漏洞形成的原理，并从源码层面上避免该类漏洞

安全体系设计与开发

能够建立自己的安全体系

开发一些实用的安全小工具

https://www.bilibili.com/video/BV1cL4y1p7kZ?share_source=copy_web  不会的可以来b站看看